Spunti di riflessione in materia di privacy a seguito delle recenti “pesanti” sanzioni del Garante nei confronti di Wind Tre e Iliad
Paolo Mascitelli • 25 agosto 2020
Con le ordinanze ingiuntive del 9/7/2020 il Garante ha sanzionato gli operatori Wind Tre e Iliad per aver violato la normativa in materia di data protection; si è trattato di un duro intervento sanzionatorio, rispettivamente pari a 17 milioni e 800 mila euro che necessariamente deve fungere da campanello di allarme per tutte le aziende che volenti o nolenti non si sono ancora compiutamente adeguate al GDPR.
La lettura dei provvedimenti offre lo spunto per alcune riflessioni non solo afferenti alla materia del telemarketing ma più in generale su vari aspetti che riguardano la gestione aziendale dei dati personali dei propri clienti e la progettazione di un sistema adeguato di protezione e conservazione degli stessi.
Il telemarketing e la gestione dei consensi degli interessati
Non è la prima volta che il Garante sanziona grossi operatori economici a fronte di prassi operative di telemarketing contrarie al GDPR; nei confronti della Wind Tre, in particolare, il Garante ha ravvisato sussistere importanti violazioni al GDPR in relazione alle modalità di raccolta e revoca del consenso degli interessati alle attività promozionali ma ad onor del vero anche ad Iliad sono state contestate violazioni inerenti la raccolta dei consensi, ritenuta illegittima in quanto accorpata all’accettazione globale di plurime finalità del trattamento indicate nelle informative privacy ad esse collegate.
Grazie ad una puntuale attività istruttoria il Garante ha appurato che la Wind Tre trattava i dati per finalità promozionali in base a consensi rilasciati nel biennio 1998/1999, con ciò palesemente violando il principio che impone tempi di conservazione proporzionati e la necessità di un loro rinnovo in considerazione del mutato quadro normativo.
Interessante è proprio quest’ultimo aspetto: il Garante infatti ha chiarito che non sempre è necessario chiedere la rinnovazione del consenso alle attività promozionali; sarà necessario solo nel caso in cui il Titolare non sia in grado di dimostrare la conformità dei trattamenti svolti rispetto alle novità introdotte dal Regolamento UE 2018/679 e dalla normativa settoriale.
Si pensi ad esempio al contenuto necessario delle informative sul trattamento dei dati: ovvio che un consenso “informato” deve ritenersi validamente espresso fin quando non avvengano sostanziali mutamenti dell’oggetto stesso su cui si fonda la propria manifestazione di volontà dell’interessato.
Il “considerando 171” del GDPR recita: …”Qualora il trattamento si basi sul consenso a norma della direttiva 95/46/CE, non occorre che l'interessato presti nuovamente il suo consenso, se questo è stato espresso secondo modalità conformi alle condizioni del presente regolamento, affinché il titolare del trattamento possa proseguire il trattamento in questione dopo la data di applicazione del presente regolamento…”
Tra l’altro, rispetto ai consensi rilasciati in epoche così risalenti, ci sono da tenere in considerazione tutte le novità settoriali intervenute e normate dall’art. 130 del D.Lgs 196/2003 e la normativa sul registro delle opposizioni.
A fronte di un quadro normativo così mutato, Wind Tre non avrebbe dovuto né conservare e tantomeno usare i dati degli interessati, il cui consenso non poteva che essere ritenuto inefficace.
Altra questione importante affrontata dal Garante riguarda la modalità di raccolta del consenso tramite alcune app utilizzate dai suddetti operatori.
E’ stato constatato che tali applicativi vincolavano l’utente a un’unica accettazione generale delle condizioni contrattuali, dell’informativa privacy nonché di tutte le finalità marketing richieste a consenso.
Non è purtroppo una novità; ancora troppi operatori economici ignorano il principio sancito all’art. 7, c. 2, GDPR (nonché i considerando 42 e 43 del GDPR) in base al quale il consenso dell’interessato deve essere specifico e prestato in maniera chiaramente distinguibile dalle altre materie.
La gestione delle istanze degli interessati e la loro identificazione.
Capita spesso che a fronte di una richiesta fatta ad un operatore economico per esercitare un diritto di opposizione, di rettifica o per revocare un consenso, sia opposta la necessità di identificazione tramite documento di identità da scannerizzare ed inviare per email.
Il provvedimento del Garante fa chiarezza anche su questo punto.
Secondo quanto disposto dall’art. 12 comma 6 del GDPR, “qualora il titolare del trattamento nutra ragionevoli dubbi circa l'identità della persona fisica che presenta la richiesta di cui agli articoli 15 a 21, può richiedere ulteriori informazioni necessarie per confermare l'identità dell'interessato.”
Tale principio, soprattutto per i servizi online, viene maggiormente esplicato dal Considerando 64 secondo cui “Il titolare del trattamento dovrebbe adottare tutte le misure ragionevoli per verificare l’identità di un interessato che chieda l’accesso, in particolare nel contesto di servizi online e di identificativi online. Il titolare del trattamento non dovrebbe conservare dati personali al solo scopo di poter rispondere a potenziali richieste.”
E’ fatto quindi divieto di richiedere informazioni irragionevoli all’interessato in ossequio al principio di stretta necessità nella raccolta e conservazione dei dati.
Rispetto all’identificazione degli interessati che esercitano il diritto di opposizione o revoca al marketing, il Garante ha reputato non conforme ai principi di proporzionalità, necessità e adeguatezza la prassi di pretendere l’invio di un documento di identità da parte dell’utente.
Tre le ragioni a fondamento di tale assunto: a) l’irrisorietà delle conseguenze derivanti dalla mancata corrispondenza tra richiedente e interessato; b) la riconducibilità di una richiesta di revoca del marketing al diretto interessato; c) l’onere del titolare di agevolare il più possibile l’esercizio dei diritti da parte degli interessati, ricavabile dal combinato disposto di cui agli artt. 12, par. 2 e 7, par. 3 del GDPR.
Attenzione però, il ragionamento del Garante, per sua stessa ammissione, non è estensibile ad altre fattispecie relative a richieste di esercizio di diritti da parte degli interessati.
Il controllo dei responsabili e dei sub-responsabili del trattamento designati a norma dell’art. 28 e 29 GDPR da parte del Titolare
Il Garante offre importanti spunti di riflessione anche sul tema delle nomine a responsabili e sub-responsabile ai sensi degli artt. 28 e 29 del GDPR.
Nello specifico, in poche parole, è emerso che la Wind Tre si sarebbe avvalsa di rivenditori autorizzati (designati quali responsabili del trattamento), i quali a loro volta avrebbero svolto la propria attività attraverso una lista di collaboratori (procacciatori) presenti su tutto il territorio nazionale, nei cui confronti si riscontravano operazioni di trattamento illecito di dati, sempre per finalità di marketing, raccolti mediante acquisizione degli indirizzi da parte di un diverso operatore telefonico con modalità non lecite.
Il Garante ha quindi ascritto a responsabilità del Titolare anche la condotta illecita di tali procacciatori, che avrebbero essere designati quali sub-responsabili e sottoposti a misure di controllo, formative e destinatari di istruzioni.
In base al GDPR è fondamentale che da parte del titolare siano svolti controlli stringenti nei confronti dei responsabili, ad es. anche mediante l’utilizzo di checklist od anche tramite audit ed ispezioni ma non è tutto; è importante contenere il rischio di criticità e violazioni da parte dei responsabili attraverso iniziative di formazione verso gli operatori, in modo da sensibilizzarli sulle tematiche inerenti la gestione ed il trattamento dei dati personali, coltivando una sensibilità maggiore verso i diritti degli interessati.
Link ai provvedimenti in commento
https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9435753
https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9435807
Introduzione La Direttiva NIS 2, adottata dall'Unione Europea, rappresenta un importante passo avanti nella sicurezza informatica, ampliando il campo di applicazione della precedente direttiva NIS. In questo articolo, esploreremo i dettagli chiave della NIS 2, inclusi i dati rilevanti, le scadenze importanti e gli adempimenti necessari per garantire la conformità. Cos'è la NIS 2? La NIS 2 (Direttiva 2022/2555) è una normativa europea che mira a rafforzare la sicurezza delle reti e dei sistemi informativi in tutta l'Unione Europea. La direttiva si applica a vari settori, inclusi i servizi essenziali e quelli digitali, e introduce requisiti più rigorosi per la gestione dei rischi legati alla sicurezza informatica.Ambito di Applicazione La NIS 2 si applica a: Entità di servizi essenziali: settori come energia, trasporti, salute, acqua potabile e infrastrutture digitali. Entità di servizi digitali: fornitori di servizi di cloud, motori di ricerca e piattaforme di social media. Piccole e medie imprese: in alcuni casi, anche le PMI possono rientrare nel campo di applicazione se forniscono servizi critici. Scadenze Importanti Le principali scadenze NIS 2 riguardano la registrazione sulla piattaforma ACN (entrate in vigore il 28 febbraio 2025), la trasmissione delle informazioni sui soggetti NIS (entro il 31 maggio 2025) e la piena implementazione delle misure di sicurezza entro ottobre 2026. Queste scadenze sono fondamentali per garantire che le aziende si adeguino ai nuovi requisiti della NIS 2, che mira a migliorare la sicurezza informatica e la resilienza cyber in tutta l'UE. Adempimenti principali a) Valutazione dei Rischi : Le organizzazioni devono condurre valutazioni dei rischi per identificare e mitigare le vulnerabilità nei propri sistemi. b) Piani di Risposta agli Incidente : È obbligatorio sviluppare e mantenere piani di risposta efficaci per gestire gli incidenti di sicurezza informatica. c) Segnalazione degli Incidenti : Le entità devono notificare gli incidenti significativi alle autorità competenti entro 24 ore dalla loro scoperta. d) Formazione e Consapevolezza : È fondamentale formare il personale sulla sicurezza informatica per garantire una cultura di sicurezza all'interno dell'organizzazione. Conclusione La NIS 2 rappresenta una sfida significativa ma necessaria per le organizzazioni che operano in settori critici. Essere proattivi nella comprensione e nell'attuazione dei requisiti della NIS 2 non solo garantisce la conformità, ma contribuisce anche a un ambiente digitale più sicuro per tutti. Preparati, quindi, a intraprendere questo percorso per proteggere le tue risorse e garantire la continuità operativa.Concludendo, è essenziale rimanere aggiornati sulle evoluzioni normative e progettare strategie efficaci per affrontare le sfide della sicurezza informatica.
Il termine "sharenting" si riferisce alla pratica dei genitori di condividere costantemente contenuti online riguardanti i propri figli, come foto, video e ecografie. Questo neologismo deriva dall'unione delle parole inglesi "share" (condividere) e "parenting" (genitorialità). La pubblicazione in rete delle foto/video dei propri figli può comportare numerosi rischi che minacciano la privacy e la sicurezza dei minori tra cui: violazione della privacy e della riservatezza dei dati personali anche sensibili; mancata tutela dell’immagine del minore che a causa della permanenza in rete e dell’inevitabile perdita di controllo da parte dei genitore sul contenuto postato può essere utilizzata per fini impropri da parte di terzi (es. pedopornografia, ritorsioni etc); ripercussioni psicologiche sul minore rischiando di ritrovarsi con un'identità digitale costruita su immagini di cui non ha dato il proprio consenso, rischio di adescamento da parte di malintenzionati che possono sfruttare dati ed abitudini dei minori esposti online. Incremento episodi cyberbullismo E’ importante prestare attenzione quando si decide di pubblicare tali contenuti e seguire i suggerimenti forniti dal Garante della privacy tra cui: ✔️rendere irriconoscibile il viso del minore (ad esempio, utilizzando programmi di grafica per "pixellare" i volti) ✔️coprire i volti con una “faccina” emoticon; ✔️limitare le impostazioni di visibilità delle immagini sui social network solo alle persone che si conoscono o che siano affidabili e non le condividano senza permesso nel caso di invio su programma di messagistica istantanea; ✔️evitare la creazione di un account social dedicato al minore; ✔️leggere e comprendere le informative sulla privacy dei social network su cui carichiamo le fotografie.
La retribuzione minima stabilita da un contratto collettivo nazionale sottoscritto dalle organizzazioni sindacali maggiormente rappresentative non basta a garantire il rispetto del principio di sufficienza e proporzionalità dettato dall’articolo 36 della Costituzione. La Corte di cassazione ha stabilito che anche in presenza di un accordo collettivo, spetta in ogni caso al giudice il potere di valutare la congruità del salario minimo stabilito dalle parti sociali, mediante una verifica costituzionalmente orientata di tale misura. Dalla "corretta lettura" dell’articolo 36 della Costituzione, infatti, la Corte giunge a ricavare il principio secondo cui ciascun lavoratore ha diritto a una retribuzione proporzionata alla quantità e qualità del suo lavoro e in ogni caso sufficiente ad assicurare a sé e alla sua famiglia un’esistenza libera e dignitosa. Secondo la Corte (sentenze 27711 e 27769 del 2 ottobre 2023) l'articolo 36 della Costituzione evidenzia due diritti distinti ma interconnessi: il diritto a una retribuzione " proporzionata " in base alla quantità e qualità del lavoro e il diritto a una retribuzione " sufficiente" che assicuri una vita dignitosa per il lavoratore e la sua famiglia. La valutazione della congruità del salario minimo diventa, quindi, una valutazione flessibile dipendente dal contesto economico e sociale in evoluzione. La Corte ha introdotto un nuovo punto di vista sostenendo che per determinare il salario minimo non si debba considerare solo la soglia di povertà assoluta calcolata dall'Istat ma anche i concetti di sufficienza e proporzionalità. La Corte fa riferimento alla direttiva dell'Unione Europea sui salari adeguati che incoraggia gli Stati membri a garantire non solo i bisogni essenziali ma anche la partecipazione a attività culturali, educative e sociali. La valutazione che il giudice è chiamato a svolgere in merito alla congruità del salario minimo è dunque una valutazione fluida , dipendente dal contesto economico in evoluzione e non cristallizzata in parametri intangibili. Secondo gli Ermellini, quindi, si deve garantire al lavoratore una vita non solo non povera, ma anche dignitosa. In questo senso la Corte fa espresso riferimento alla recente direttiva Ue sui salari adeguati (n. 2022/2041) che sprona gli Stati membri a dotarsi di legislazioni nazionali orientate a garantire non solo il soddisfacimento di meri bisogni essenziali (quali cibo, alloggio, e così via) ma anche la legittima partecipazione ad attività culturali, educative e sociali. La direttiva Ue propone alcuni parametri per adeguare il salario minimo, come il potere d'acquisto dei salari rispetto al costo della vita e la distribuzione dei salari. Questo rappresenta un cambiamento rispetto alla precedente giurisprudenza che si concentrava su parametri come l'indice Istat di povertà o l'importo della Naspi o del reddito di cittadinanza. La Corte di Cassazione invita a valutare con prudenza gli scostamenti dalla contrattazione collettiva, ma le recenti sentenze rischiano di creare incertezza , passando dalla certezza dei contratti collettivi a un potenziale eccesso di discrezionalità nelle aule di tribunale. La massima: "Il giudice può discostarsi dal Contratto collettivo Il giudice deve fare riferimento innanzitutto alla retribuzione stabilita dalla contrattazione collettiva nazionale di categoria, dalla quale può tuttavia motivatamente discostarsi, quando la stessa entri in contrasto con i criteri normativi di proporzionalità e sufficienza della retribuzione dettati dall’articolo 36 della Costituzione. Per la determinazione del giusto salario minimo il giudice può usare come parametro la retribuzione stabilita in altri contratti collettivi di settori affini e può fare altresì riferimento a indicatori economici e statistici, anche secondo quanto suggerito dalla direttiva Ue 2022/2041 del 19 ottobre 2022. Cassazione civile, sez. lavoro, 2 ottobre 2023 n. 27711 e n. 27769" Di altro avviso è il Tribunale di Milano che invece richiama espressamente la "prudenza" nel discostarsi dal salario indicato dal CCNL leader: "Ove la retribuzione prevista nel contratto di lavoro risulti inferiore alla soglia minima di sufficienza in base all’articolo 36 della Costituzione, il giudice adegua la retribuzione secondo i criteri costituzionalmente garantiti, con valutazione discrezionale. Ove però la retribuzione sia prevista da un contratto collettivo, il giudice è tenuto a usare tale discrezionalità con la massima prudenza, cura e attenzione e comunque con adeguata motivazione, giacché difficilmente è in grado di apprezzare le esigenze economiche, politiche e sindacali sottese all’intero assetto degli interessi concordato dalle parti sociali nel confronto che porta alla stipulazione del contratto collettivo. Tribunale di Milano, Sezione Lavoro, 21 febbraio 2023
La Cassazione torna a chiarire il "fenomeno" della colpa d'organizzazione rilevante ai sensi della punibilità dell'ente ex D.Lgs 231
C orte di Cassazione , Sezione 4 , Penale , Sentenza 21 settembre 2022 n. 34943
Alla ricerca di una soluzione al problema di conformità.
Secondo la Cassazione n. 14760/22 è l egittimo il licenziamento della cassiera di un supermercato che per vincere i premi "cd fedeltà" carica i punti sulla propria carta, quando i clienti abbiano dimenticato o non abbiano proprio la tessera. Il caso A fronte del licenziamento disciplinare subito per i fatti in premessa, la dipendente assumeva a propria difesa la propria estraneità, deducendo che negli orari e nei giorni in cui risultavano eseguiti i fatti, ella si era alzata dalla propria postazione. I giudici di merito respingevano l'impugnazione, facendo gravare sulla dipendente l'onere della prova esimente, ritenendo già comprovata in via documentale la prova della giusta causa, in quanto tale fatto di per sé mina alla radice il rapporto fiduciario anche in ottica futura. Approdati dinanzi al giudice di legittimità, la Cassazione ha concluso per la legittimità della sanzione in funzione anche degli obblighi aziendali discendenti dal particolare rapporto di lavoro esistente tra le parti.T
Qualsiasi forma idonea a manifestare, chiaramente ed inequivocabilmente, la volontà di avvalersi dell'attività e dell'opera del professionista integra il presupposto necessario per dimostrare la debenza del compenso.
